《项目管理》
作业35
学号:1322105
35、在线找到一份企业信息系统安全管理规章制度,从软件、硬件、人员、应用等多方面归纳分析信息系统存在哪些安全隐患,应采取什么措施避免?
企业计算机信息系统安全管理规定
1.总则
为加强计算机信息系统安全保护工作,保证企业信息化建设的顺利发展,根据《中华人民共和国计算机信息系统安全保护条例》、《计 算机信息网络国际联网安全保护管理办法》、《福建省计算机信息系统安全管理办法》等有关规定,结合企业实际,特制定本规定。本规定,规定了计算机系统安全、网络及应用系统安全、数据、资料和信息的安全、机房安全、安全培训及安全评估等管理要求。
2.适用范围本规定适用于XX公司/子公司计算机信息系统的安全管理。
3.职责
3.1 信息中心负责本规定的制订和修订。
3.2 各子公司负责根据本规定制订和完善本公司的管理办法。 3.3 IT部负责对本规定的执行情况开展定期或不定期的监督检查和指导工作。
4.管理规定
4.1 计算机系统安全管理
姓名:吴祥坤
作业提交要求:成绩单序号+姓名+原文件名
4.1.1 对新购进的计算机及其设备,须由信息管理部门专业人员检测后,方可安装运行,防止由于质量引起的问题和原始病毒的侵害。 4.1.2 各部室、子公司等单位不得在计算机内安装、使用任何未经信息管理部门统一购置、开发的其它各类软件(特别是游戏软件),否则由此引起的后果(软件版权纠纷、病毒破坏等)由有关责任人员自负。
4.1.3各部室、子公司等单位一旦发现新的计算机病毒,现有杀病毒软件又无法清除的,要及时与IT部门专业人员联系,以便正确处理,确保计算机系统的安全。
4.1.4 病毒防范工作具体按《计算机病毒防范管理办法(试行) 》的有关规定执行。
4.2 网络及应用系统安全管理
4.2.1 在网络建设的设计中即应充分考虑网络安全措施,采用较成熟、较先进、性能较好的安全产品以加强网络安全防范。 4.2.2 公司整个城域网只有唯一的Internet出口,任何已接入公司城域网的部门不得私自通过其它方式或者其它出口接入互联网。 4.2.3 外网用户访问公司内部资源需要通过VPN方式实现。
4.2.4 公司内部服务器与外界连接设备需有防火墙或代理服务器、 网关等防护措施,以防止外界的恶意攻击。 4.2.5 服务器应有专人管理,严禁各岗位人员越权操作,对重要的计算机信息处理系统应分级加设口令,以防机密信息的泄露。 4.2.6 人员调离时,系统管理员应按人力资源部门开具的离职单,删除其在相关信息系统中的用户及权限。
4.2.7 提高警惕,防止和打击窃取、泄露、私自修改计算机重要信息、破坏干扰计算机系统正常运行的违法犯罪行为。 4.3 数据、资料和信息的安全管理
4.3.1 严格遵守保密制度,保证各种数据、信息、资料的准确、安全可靠。
4.3.2 各部室、子公司等单位须有专人负责文字及磁盘介质资料的安全管理工作。
4.3.3 技术资料应集中统一保管,严格借阅制度。
4.3.4 存放生产、财务、销售、服务等业务应用系统及重要信息的介质,严禁外借,确因工作需要,须经IT 部领导批准。
4.3.6对需要长期保存的数据介质,应定期进行转储,以防止数据失效造成损失。
4.3.7 调离人员必须移交全部技术资料和有关文档。 4.4 机房安全管理机房是存放路由器、交换机和服务器以及通
信设备的关键场所,其消防和人员安全等应严格执行有关要求。
5.信息安全培训 IT部负责根据信息安全现状和需要,每年制定详细的安全培训计划,并纳入企业员工培训计划组织实施。
6.信息安全风险评估随着信息技术的不断发展、重大信息系统环境的不断改进和改变,每年至少要进行一次信息安全风险评估,对相关的制度进行重新审核,并更新不适当的内容。
本规定自公司之日起正式实施。
(1) 信息泄露:信息被泄露或透露给某个非授权的实体。 (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。 (3) 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。 (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。
(5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。
(6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。
(7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。
(8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。
(9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。 (10)特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。
(11)陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。
(12)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。
(13)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。
(14)计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。
(15)人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。
(16)媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得。 (17)物理侵入:侵入者绕过物理控制而获得对系统的访问。 (18)窃取:重要的安全物品,如令牌或身份卡被盗。 (19)业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等。
策略
信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育:
◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密
◆ 先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;
◆ 严格的安全管理。各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;
◆ 制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。